Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 48 49 50 51 52 ... 167 След.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 16.03.2012 15:45:24
не обязательно. можно повторно сделать лог в обычном режиме - с большой долей вероятности - в этот лог уже попадет вирус. но в безопасном он попадет в образ уже со 100% точностью
Правильно заданный вопрос - это уже половина ответа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 16.03.2012 15:49:38
Цитата
Арвид пишет:
не обязательно. можно повторно сделать лог в обычном режиме - с большой долей вероятности - в этот лог уже попадет вирус. но в безопасном он попадет в образ уже со 100% точностью
Я на пробу предлагаю.
Может так лучше будет ?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 16.03.2012 15:53:49
Как так? Вместо запроса лога из безопасного режиме просить повторный лог с adddir автозагрузка+crimg? В следующий сделаем так, посмотрим разницу.
Правильно заданный вопрос - это уже половина ответа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 16.03.2012 15:57:38
Цитата
Арвид пишет:
Как так? Вместо запроса лога из безопасного режиме просить повторный лог с adddir автозагрузка+crimg? В следующий сделаем так, посмотрим разницу.
Именно - так !
Возможно этот вариант будет более рационален.
т.как - в ряде случаев нужно дать пояснение, как это сделать.
А, в ряде случаев режим не работает.
Да и не факт что будет результат.
В общем можно проработать вариант с adddir автозагрузка + crimg.
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 14377
Регистрация: 16.03.2010
Размещено 18.03.2012 12:36:46
третий, или четвертый случай встречается, когда после лечения в tdsskiller усиленного_модифицированного Carberp в загрузчике,
после перезагрузки uVS обнаруживает в загрузчике (и VT в том числе) обычный, нормальный Carberp, который уже можно пролечит ьскриптом с fixvbr
http://forum.esetnod32.ru/forum6/topic4761/
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 18.03.2012 20:43:29
Вот информация.
Насколько это работает ?
Хотя бы - для некоторых зверей ?
Если - работает - то...
Есть смысл предложить для реализации в uVS.
Сам вирус может и не найдёт - но предупредит - даст информацию в логе.
А, кто предупреждён тот...
----------------------------
Trojan.Mayachok.2 – первый VBR-буткит 08.07.2011 10:01 ( Информация Dr Web )

Подробно - hardnsoft.ru
Цитата
   
При загрузке вирусный драйвера вызывается дважды. При первом вызове он добавляет себя в списки из LOADER_PARAMETER_BLOCK: в LoadOrderList как копия первого модуля в списке (а это ядро ОС) и в BootDriverList как загрузочный драйвер, якобы прописанный в \Registry\Machine\System\CurrentControlSet\Services\null. Таким образом, вредоносная программа имитирует свою загрузку в качестве обычного boot-драйвера. Второй раз драйвер вызывается операционной системой, которая уверена, что сама загрузила его.

Данные манипуляции приводят к некоторым побочным эффектам. Например, в системе появляется драйвер Null, но при более внимательном рассмотрении оказывается, что он был создан ядром (ntoskrnl.exe).

В качестве экспресс-проверки системы на наличие или отсутствие заражения можно использовать простую команду "echo hello >nul", которая на неинфицированной системе успешно выполняется, а на зараженной выдает сообщение об ошибке.
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 14377
Регистрация: 16.03.2010
Размещено 18.03.2012 21:01:18
о каком бутките здесь идет речь? о том, что защищает себя от перезаписи? так он детектируется по сигнатурам uVS, или при проверке IPL на VT/Jotti
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 18.03.2012 21:38:57
Цитата
santy пишет:
о каком бутките здесь идет речь? о том, что защищает себя от перезаписи? так он детектируется по сигнатурам uVS, или при проверке IPL на VT/Jotti

А,я откуда знаю какой ?
Но может это и при других случаях работает...
Кроме того: Одно дело сигнатуры - другое самостоятельное обнаружение/предупреждение от uVS + новая версия зловреда.
и VT/Jotti - могут быть по той или иной причине недоступны.
А так - есть подозрение... Взяли и пролечили на всякий пожарный.
* Увидел - почитал - подумал и написал.
А нет... так нет...  :cry:  ;)
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 14377
Регистрация: 16.03.2010
Размещено 20.03.2012 11:50:41
скрипт, подписанный в буфере обмена с помощью OpenPGP. приналичии public ключей, можно однозначно идентифицировать кем был подписан.
----------
Код
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\SYSTEMHOST\24FC2AE333B.EXE
addsgn 988C1F92342A4C9AC1DAAEB1DB5C120525013B1E9FF51F780CA62D37A45F4F1ADC02F3377E551607
3B0989D3D65649713BDB4B2AC59AB0A77B7F2D3A9B966273 8 SpyEye
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NKIDTGEYZB0.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE333B.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ
МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NKIDTGEYZB0.EXE
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\SETUPAPI.DLL
delall %Sys32%\MHXUCL.EXE
deltmp
delnfr
delref HTTP://SEARCH.QIP.RU
regt 12
regt 14
restart
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (MingW32) - GPGshell v3.78

iEYEARECAAYFAk9oMLgACgkQZ5uGc3GdD0j2QQCeM7iCWdcwNoehPL1j9/DNh9eu
8fkAoNkkLYAVNFkGYVxe89ropW3UnUHb
=3dDm
-----END PGP SIGNATURE-----
Изменено: santy - 20.03.2012 11:51:19
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 20.03.2012 11:54:35
santy,
мне кажется это баловство. считаю что это не нужно. не понимаю зачем тебе.
Правильно заданный вопрос - это уже половина ответа
 
Пред. 1 ... 48 49 50 51 52 ... 167 След.
Читают тему